[AD] pb execution script dans GPO

pb execution script dans GPO [AD] - Infrastructures serveurs - Systèmes & Réseaux Pro

Marsh Posté le 24-01-2007 à 14:27:54    

bonjour,
 
j'ai un soucis, je voudrais mettre a jour mon client WSUS sur mon parc, le probleme c'est que bien sur, tout le monde n'est pas admin... j'avais comme idée de faire executer mon script au niveau machine, mais ca ne fonctionne pas, je recupere ca dans le journal d'evenement d'une machine cliente :
 
erreur : userinit : \\x.x.x.x\netlogon\monscript.vbs accés refusé
 
je ne sais pas si  le mettre dans le script de demarrage au niveau ordinateur est faisable (pourtant j'ai l'impression que ca a fonctionné sur un poste).
 
merci pour votre aide.
 
le script en question copie le fichier exe de mise a jour de l'agent en local, et l'execute en silencieux.
 
 

Reply

Marsh Posté le 24-01-2007 à 14:27:54   

Reply

Marsh Posté le 24-01-2007 à 16:15:45    

Essaie de voir ce qui cloche au niveau ordinateur, mais au pire tu peux l'exécuter dans l'espace utilisateur avec un "run as", en faisant bien attention qu'il ne reste pas de trace de ton script en local... :whistle:


---------------
Il [e2fsck] a bien démarré, mais il m'a rendu la main aussitot en me disant "houlala, c'est pas beau à voir votre truc, je préfèrerai que vous teniez vous même la tronçonneuse"
Reply

Marsh Posté le 24-01-2007 à 16:36:14    

ben je ne vois pas trop ce qui cloche, j'ai bien mis tt le monde pour l'accés au script.... le runas si je le fais au niveau du script sur le serveur, le mot de passe sera facilement trouvable par un utilisateur degourdi.... donc je prefere pas. j'aimerai comprendre pourquoi ca ne fonctionne pas.
 
voila qques details en plus :
 
machine windows 2000 SP4
controleur de domaine windows 2003 SP1
 
 
 
merci pour votre aide

Reply

Marsh Posté le 24-01-2007 à 16:54:41    

bon, ben j'ai encore modifie qques trucs, et j'ai toujours erreur userinit :
 
userinit : \\x.x.x.x\netlogon\monscript.vbs accés refusé  
 
je comprends pas, j'y accède sans probleme dans la session, je vais essayer en rajoutant anonymous logon

Reply

Marsh Posté le 25-01-2007 à 09:26:24    

up tjrs le meme probleme !!!

Reply

Marsh Posté le 25-01-2007 à 13:57:44    

up

Reply

Marsh Posté le 25-01-2007 à 15:41:59    

up

Reply

Marsh Posté le 26-01-2007 à 09:08:37    

up

Reply

Marsh Posté le 26-01-2007 à 09:11:59    

si tu ouvres une session avec un compte d'utilisateur classique et que tu lances le script avec un ruas ou un executere en tant que ça fonctionne ?  
 
D'autre part normalement le serveur WSUS met lui même jour le client WSUS pour un 200 en SP4 je crois non ?


---------------
Mon blog info et Mon CV
Reply

Marsh Posté le 26-01-2007 à 11:37:32    

ben je pensais que WSUS mettrait a jour l'agent, mais non, tant que je passe pas cette mise a jour, les stations ne remontent pas dans WSUS...
 
sinon mon script fonctionne parfaitement dans une session admin (pas teste en user, je vais le faire, mais j'aurais aimé que cela se passe au lancement de la machine (plus propre a mon sens)). Le pire c'est que je suis certain que cela passe sur certains pcs, vu que j'en ai encore qui viennent de remonter dans WSUS depuis la mise en place de la GPO qui met a jour l'agent.
mais pourquoi certains ne passent pas...

Reply

Marsh Posté le 26-01-2007 à 11:37:32   

Reply

Marsh Posté le 26-01-2007 à 13:56:42    

up

Reply

Marsh Posté le 26-01-2007 à 13:56:49    

J'ai monté un serveur WSUS centralisé dans ma boite
 
Je crois pas qu'il y est besoin de scipt avec ad (me souvient plus precisement, j'suis pas sur place, à part dans un domaine samba pour faire accepter la gpo (en la créant avec poledit, petite feinte d'openldap))
 
Ce que j'avais fait :  
Création d'une nouvelle UO pour les machines. Tu crée ta GPO dans cette UO et surtout ne pas oublier de déplacer les machines qui adhérent dans cette UO
 
Ensuite fo configurer la gpo, de mémoire comme ca :
 
Config Ordi, modèles d'admin, composants windows, Windows update
 
Mettre Configuration des mises à jour automatiques, activer, option 4, choisir tous les jours et ajuster l'heure (à noter que ton client va faire la màj en 2 temps (j'ai galeré pour m'apercevoir de ça ; il va d'abord dl les nouvelles màj à l'heure déterminée, attendre 24heures sauf si l'utilisateur les install à la main, et ensuite les installer automatiquement à la meme heure le lendemain)
 
Ensuite Spécifier l'emplacement du site WU (regarde sur le net pour retrouver quoi mettre exactemment)
 
Ensuite pas de redemarrage des install planifiées (activé , sinon le poste redemarre tout seul , pas cool)
 
Autoriser l'install immédiate des màj, activer
 
Et enfin autorises les non admins à recevoir les notifications
 
Voilà, avec tout ca ca marche dans ma boite ( mix de ad2003 ad2000 et openldap (export de gpo avec poledit et scripts dans ce derneir cas)
 
Je sais pas si c kler, c assez cho d'expliquer tout ca
 
En tout cas pleins de sites en parlent


Message édité par punkoo le 26-01-2007 à 13:58:47
Reply

Marsh Posté le 26-01-2007 à 14:03:58    

Dans mon cas les clients n'ont bien sur pas les droits admin, et toutes les màj marchent sans problèmes
 
Quand elle sont installées, l'utilisateur se voie invité à redemarrer la machine ; il peut très bien ignorer ce message (il sera redemandé tous les x temps) et continuer de taffer
 
Autre chose, il faut que tu règle ton serveur WSUS à proprement parler (synchro pour detecter les màj avec tes critères de recherche (moi pour des xp et 2000 j'ai choisi les màj critiques et de sécurité pour ces os))
 
Et sinon l'adresse à taper dans la gpo (emplacement du site ...) c'est sous la forme http://monserveur:8530 pour les deux champs (si tu as pas de IIS, enfin site web crée avec wsus, sinon fo mettre la meme :80)


Message édité par punkoo le 26-01-2007 à 14:04:31
Reply

Marsh Posté le 26-01-2007 à 14:19:31    

Je viens de m'appercevoir que tu parlais du client WSUS
 
Me rappele plus de ce truc là
 
En tout cas désolè si je suis à coté de la plaque lol

Reply

Marsh Posté le 26-01-2007 à 23:49:11    

C'est quoi le client WSUS ?
C'est autre chose que le support des mises à jour intégré que l'on configure avec les paramètres de GPO cités ci-dessus ?
 
Pour l'histoire du script qui foire, c'est probablement une histoire d'identification.
Le script de démarrage machine s'exécute sous le pseudo-compte SYSTEM (ou un truc du genre) qui n'a pas accès au réseau.
Il fonctionnerait probablement si les fichiers étaient en local.
 
Éventuellement, tu peux recopier les fichiers localement lors de l'ouverture de la session utilisateur, puis exécuter l'installation (si les fichiers existent) depuis le script de démarrage machine.
 
Ou encore utiliser un programme genre smbclient, qui ne souffre pas de ce genre de limitation débile, pour copier les fichiers avant de lancer l'installation.
 
Le plus simple reste tout de même d'utiliser runsas avec ton mot de passe admin dans le script. :)
Si tu veux éviter d'utiliser l'admin du domaine, tu peux utiliser un nom d'utilisateur quelconque ("auto" par exemple) et l'ajouter au groupe Administrateurs de chaque machine, soit avec un "net localgroup administrateurs auto@domaine /add", soit en définissant le groupe Administrateurs comme un groupe restreint.

Reply

Marsh Posté le 28-01-2007 à 17:23:04    

redridinghood a écrit :

...\\x.x.x.x\netlogon\monscript.vbs accés refusé
.....

 

salut,
une question: ton script est stocké ou? il semblerait que tu le stockes sur un serveur autre que ton controlleur de domaine, est-ce exact?

 

Si tu utilises l'AD et donc une gpo pour son lancement au démarrage, pour déposer ton script sur le controlleur de domaine, l'AD te 'génère un espace' sur sysvol pour que tu y déposes ton vbs (ou bat ou exe). Pour accéder à cet espace, vas dans la partie 'Script au demarrage' de ta GPO, cliques sur le bouton 'afficher les fichiers', déposes ton vbs puis ajoutes le dans la GPO.


Message édité par mnpg le 28-01-2007 à 17:25:24
Reply

Marsh Posté le 29-01-2007 à 14:44:10    

non, il est bien sur un DC, mais effectivement, il est sur un autre espace que sysvol, je vais essayer de faire ce que tu dis. je vous tiens au courant.

Reply

Marsh Posté le 31-01-2007 à 16:25:02    

bien vu mnpg, ca marche au poil, merci beaucoup !!!

Reply

Marsh Posté le 09-02-2007 à 07:54:29    

Bonjour,
 
Moi j'ai mis en place un serveur WSUS dans un domaine AD.
Ma GPO WSUS est créée et en place, celà dit, je ne comprend pas un truc :
mes utilisateurs non admin ne recoivent pas les propositions de MAJ. Si par contre je me connecte en admin, c'est imlmédiat!!
Alors biensur je ne veux pas donner les droits admin... alors que ffaut il faire?
PS: dans ma GPO WSUS nul part n'est précisé un truc du genre ElevateNonAdmin...
 
Merci de vos lumières ;-))) :pt1cable:

Reply

Marsh Posté le 09-02-2007 à 12:13:36    

Salut,
 
Sous AD, Il faut activer par GPO la partie " configuration ordinateur / Modele d'administration / Windows update"
"Autoriser les non-administrateurs à recevoir les notifications de mise à jour"
 
 :hello:


---------------
I am Alpha and Omega, the beginning and the end, the first and the last
Reply

Marsh Posté le 09-02-2007 à 12:22:11    

chrisbarbery a écrit :

Bonjour,
 
Moi j'ai mis en place un serveur WSUS dans un domaine AD.
Ma GPO WSUS est créée et en place, celà dit, je ne comprend pas un truc :
mes utilisateurs non admin ne recoivent pas les propositions de MAJ. Si par contre je me connecte en admin, c'est imlmédiat!!
Alors biensur je ne veux pas donner les droits admin... alors que ffaut il faire?
PS: dans ma GPO WSUS nul part n'est précisé un truc du genre ElevateNonAdmin...
 
Merci de vos lumières ;-))) :pt1cable:


 

feilong74 a écrit :

Salut,
 
Sous AD, Il faut activer par GPO la partie " configuration ordinateur / Modele d'administration / Windows update"
"Autoriser les non-administrateurs à recevoir les notifications de mise à jour"
 
 :hello:


Si tu fais ca, ils pourront alors très bien refuser d'installer les mises à jour.


---------------
Mon Blog : LeVeilleur.net | Hébergement d'images : Hostipics.net
Reply

Marsh Posté le 09-02-2007 à 12:51:23    

non car il y a une autre GPO prévue à cet effet : " configuration de la mise à jour automatique et qui force le telechargement et linstallation"
 
 


---------------
I am Alpha and Omega, the beginning and the end, the first and the last
Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed